Железо и ПО

ИБ в сфере покера p.3

Опубликовал Zebra_Yellow в 16:59, 30.09.2009 5 0.0

Сегодня мы продолжим серию публикаций об известных угрозах в сфере ИБ онлайн покера. Как было обещано ранее: сегодня – разбор некоторых методов получения пароля, а также дискуссия о методах защиты и противостояния таким подходам.
bq. Переборы, переборы, а я меленький такой
Метод перебора значений по праву считается одним из самых древних, но вместе с тем и самых простых вариантов получения заветной информации. Принцип работы приложений подобного рода достаточно прост – необходимо методом последовательных проверок различных значений выяснить оригинальную комбинацию символов. Различают несколько видов переборов значений: 1) «в лоб» (aka brute force), 2) по словарю 3) комбинации 1 и 2 видов.

При первом виде, запущенное злоумышленником приложение осуществляет последовательный перебор символов с различной длиной конечной комбинации. К примеру: 1111, 1112 .. NNNNNNNNNN, где это самое количество символов N задаёт вредитель, а уже каждая позиция может принимать значения от «0» до спец. символов по типу «&^$_». Однако, не вдаваясь в подробности, стоит отметить, что перебор комбинаций, где количество N будет более 8, займёт довольно существенное время. Именно отсюда идёт первый недостаток указанного вида перебора для злоумышленника – время, требуемое для получения комбинации. Вот поэтому так важно использовать пароли с длиной символов от 8 до 16 («правая» граница наложена общими рекомендациями, методиками и прочей фигнёй). Так, некоторые американские банки при онлайн регистрации не позволяют своим клиентам задавать пароль длиной более 8 символов; «вдогонку», некоторые товарищи до сих пор считают, что их длина пароля icq может быть 16 символов =))

Атака по словарю несёт гораздо больше коварства. Стоит отметить, что на текущий момент составлены сотни толстенных файлов (вес наиболее полных переваливает за 2Гб) с наиболее часто встречаемыми паролями для всех стран мира, с учётом специфики деятельности проекта и предположительным возрастом жертвы. Алгоритмы подбора оптимизированы для нахождения пароля в кратчайшие сроки — для этого все значения в имеющемся словаре сортируются по частоте использования в других (возможно аналогичных) системах.
Исходя из этого, буквально ВСЕ специалисты советует Вам накреативить такую комбинацию для пароля, которая бы имела как можно больше символов из различных групп, + не содержала повторений. До кучи, очень здорово, когда на все сервисы, которыми Вы пользуетесь, установлены различные имена учётных записей и паролей, ну и менять их раз в месяц (простите за издёвку).

q. Что делать?

С завтрашнего дня Вы можете смело начинать следовать всем вышеперечисленным рекомендациям не используя записи в ежедневниках (украдут) и текстовых файлах (перехватят), но в таком случае автор оставляет за собой право навещать Вас в психиатрической клинике.

Если серьезно, то для начала неплохо бы разделить Вашу интернет жизнь на две сферы: бизнес и личное, завести как минимум два e-mail адреса и два устойчивых пароля и ни в коем случае не пересекать данные об учётных записях между этими зонами (более подробно эта тема будет раскрыта в следующих статьях).

Есть ещё и другой путь: можно использовать различное ПО для хранения паролей и записей. Вариантов тут масса, от запоминалок в самих браузерах до серьёзных решений типа KeyPass с файлом ключей на USB-флеш без возможности восстановления. Здесь я хочу обратить Ваше внимание на всеми давно забытую прогу AI Roboform, которая получила известность на заре “интернетов” как авто заполнялка полей форм для любителей халявы и пр. Сейчас же сий продукт представляет собой весьма надёжное решение, абсолютно бесплатное в базовом варианте для жителей СНГ. Не растекаясь мысью по древу замечу, что софтина имеет ряд ключевых достоинств: работа с популярными браузерами, поддержка современных алгоритмов шифрования, user-friendly интерфейс и поведение, противостояние кейлоггерам(!). Ваш покорный слуга использовал в боевых системах и Password Manager XP, и Sticky Password, и небезызвестный KeePass, однако ни одна из них не выдержала проверки временем – выбор пал на AI RF, чем и пользуюсь по сей день.
В следующий раз мы продолжим разговор о вариантах потери пароля и поговорим о соц. инженерии/фишинге/спаме а также снифферах и методах борьбы с ними.
P.s.: Огромная просьба отписывать в комментариях свои вопросы и пожелания.

Оцените материал
Сделайте мир лучше
0.0
5